F5 とセキュリティ研究企業 depthfirst が 5 月 13 日、世界で最も普及している Web サーバ NGINX の ngx_http_rewrite_module に 18 年潜伏した未認証 RCE/DoS の脆弱性『NGINX Rift』(CVE-2026-42945, CVSS v4 9.2) を公表した。2008 年リリースの 0.6.27 で混入し、1.30.0 までの全バージョンが影響を受ける。
主なポイント
- 内部スクリプトエンジンの 2-pass 処理に状態不整合があり、
rewrite⇒rewrite/if/set連鎖と PCRE 無名キャプチャ +?含み置換で worker プロセスの heap を破壊できる - 攻撃前提は HTTP 到達のみ。事前認証もセッションも不要で、単一リクエストで RCE 到達可能
- 影響範囲は NGINX Open Source 0.6.27 〜 1.30.0、NGINX Plus R32〜R36、Instance Manager、App Protect WAF、Gateway Fabric、Ingress Controller に及ぶ
- depthfirst は同社の自律 AI コード監査基盤による 4 月の audit で発見、同時に他 3 件のメモリ破壊バグも検出
- 対策は NGINX 1.30.1 / 1.31.0 への更新。即時更新が難しい場合は無名キャプチャを名前付きキャプチャに置換する緩和策が示されている
出典: NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability